轉載請註明出處:葡萄城官網,葡萄城為開發者提供專業的開發工具、解決方案和服務,賦能開發者。 【年末促銷】葡萄城 2018 歲末福利火熱放送中 原文轉載自 微信公眾號 justjavac 早起看手機,結果發現我的微信群炸了,未讀消息 999+,大家都在討論 event-stream 事件。打開 twi ...
轉載請註明出處:葡萄城官網,葡萄城為開發者提供專業的開發工具、解決方案和服務,賦能開發者。
原文轉載自 微信公眾號 justjavac
早起看手機,結果發現我的微信群炸了,未讀消息 999+,大家都在討論 event-stream 事件。打開 twitter 也是被這個刷屏了。
於是翻看了一下 GitHub Issue,大概知道了事情的原委。
用戶 @FallingSnow 在 GitHub 上為 event-stream 倉庫創建了一個 issue,標題為:"I don't know what to say.",翻譯過來大概就是“我也是很無語了”。因為 event-stream 包突然多出了一個名為 flatmap-stream 的依賴項,而這個依賴項正在竊取用戶的數字貨幣。
event-stream 被很多的前端流行框架和庫使用,每月有幾千萬的下載量。在 Vue 的官方腳手架 vue-cli 中也使用了這個依賴,作為最流行的前端框架之一,這個影響還是挺大的。而 React 則躲過了以此影響。
flatmap-stream 中的惡意代碼會掃描用戶的 nodemodules 目錄,因為所有從 npm 下載的模塊都會放在此目錄。如果發現了在 nodemodules 存在特定的模塊,則將惡意代碼註入進去,從而盜取用戶的數字貨幣。
如果想查看自己的項目是否受到影響,可以運行:
$ npm ls event-stream flatmap-stream ... flatmap[email protected] ...
如果在輸出裡面包含了 flatmap-stream 則說明你也可能被攻擊。
如果使用 yarn 則可以運行:
$ yarn why flatmap-stream
根據 issue 的描述,這次事件還非常具有戲劇性,因為攻擊者(@right9ctrl)在大概 3 個月前明目張膽的添加了攻擊代碼,並提交到了 GitHub,隨後發佈到了 npm。於是 @FallingSnow 在 GitHub 上詢問“為什麼 @right9ctrl 有這個項目的訪問許可權呢?”
@dominictarr Why was @right9ctrl given access to this repo? He added flatmap-stream which is entirely (1 commit to the repo but has 3 versions, the latest one removes the injection, unmaintained, created 3 months ago) an injection targeting ps-tree.
不久這個倉庫的所有者(@dominictarr)給出了一個讓人哭笑不得的回覆:
他發郵件給我,說他想維護這個模塊,於是我把模塊所有權移交給了他。我沒有從這個模塊得到任何回報,而且我已經好久不使用這個模塊了,大概有好幾年了吧。
而且:我已經沒有發佈這個模塊的許可權了。
作者已經把這個模塊移交給了黑客。
$ npm owner ls event-stream
right9ctrl <right9ctrl@outlook.com>
從 GitHub 的提交記錄也可以看到,作者(@dominictarr)最後一次提交代碼是去年 10 月。而之後黑客 @right9ctrl 也一直在維護此模塊。但是在 3 個月前,黑客在 GitHub 上新建了一個 flatmap-stream 倉庫(內含惡意代碼),併在這個項目中引用了自己的倉庫。
直到幾天前這個有漏洞的倉庫才被髮現,然後 npm 緊急將這個含有惡意代碼的 flatmap-stream 模塊刪除了。
這段惡意代碼目前還能在 GitHub 上看到,感興趣的可以自己去分析。攻擊者還是挺有心機的。
在評論區也出現了對 @dominictarr 的指責,輕易的將一個周下載量百萬級別的模塊移交給了陌生人去維護。但是熟悉 @dominictarr 的人都知道,雖然 @dominictarr 不如 tj 大神那麼高產,但是 @dominictarr 也維護著 400 多個 npm 包,而維護這麼多包無疑花費了很多的時間和精力。
雖然我們不知道黑客(@right9ctrl)發送的郵件是如何寫的,但是無容置疑的是,這封郵件使其獲得了 @dominictarr 的信任,再加上 @dominictarr 已經好久不使用這個包了,因此將所有權轉移給了黑客(@right9ctrl)。
而這次漏洞事件,也讓我們回過頭來重新反省 node.js 社區。
最後再次提醒:如果你是 vue 開發者,請務必檢查一下自己的項目。即使你不是 vue 開發者,最好也檢查一下,因為很多流行模塊比如 nodemon、npm-run-all、ps-tree 也都受到了影響。
繼上次ESLint被黑後,這又是一起開源社區被黑事件,這不是開源社區安全事件的第一起,但相信也不會是最後一起,誰知道下次受到安全漏洞影響的會不會是自己手裡正在使用的開源工具呢?
如何杜絕此類事件的再次發生,開發者除了做好自身安全措施外,相信選擇使用葡萄城成熟的商業軟體:SpreadJS、WijmoJS 是一個更不錯的選擇,畢竟一家優秀的廠商會為開發者承擔所有可能出現的風險這點很重要。最後,讓我們祝福他們做的更好。
